使用匿名柔性憑證的用於分布式授權的方法和裝置的製作方法

2023-08-11 14:11:51

專利名稱：使用匿名柔性憑證的用於分布式授權的方法和裝置的製作方法
技術領域：
本發明一般地涉及計算機通信網絡安全，更具體地，涉及能夠保護隱 私的用於分布式授權的通信方法、系統和裝置。
背景技術：
隨著各種計算機通信網絡(在其上已經開展了各種各樣的申請)的激 增，在基於訪問控制(授權)的應用中，消費者隱私的保護成為刻不容緩 的挑戰。邏輯上，認證在授權之前，因為認證確保了用戶是他/她所宣稱的用 戶，而授權使用戶基於其身份被允許訪問各種服務。當前的產業實踐，例如訪問控制表(Access Control List, ACL)，通過從本地資料庫獲取用戶 的憑證，然後檢查出用戶的憑證滿足與資源相關的給定的訪問控制策略， 從而實現授權。由於為了獲取用戶的憑證，必須向資源保護者公開用戶的 唯一身份，因此這種做法是以犧牲用戶隱私為代價來實現安全授權。如圖16所示，作為各種參與者，授權系統具有偽名機構(Pseudonym Authority, PA)、用戶、資源持有者(Resource Holder ， RH)和資源保 護者(Resource Protector, RP) 。 PA例如是耦合到網絡的管理系統內的偽 名使用的伺服器等，RH例如是耦合到網絡的具有內容數據、計算資源等 的工作站或提供某些服務的伺服器等，RP例如是耦合到網絡的控制對資 源的訪問的登陸伺服器等。用戶可以通過例如耦合到網絡的個人計算機 (PC)或終端來使用偽名進行資源訪問。偽名是不表明用戶真實身份的用 戶標識。PA擔當受信第三方，其能夠向用戶授予偽名，追查可疑用戶，並吊 銷不良用戶。RH管理若干資源，並向用戶授予訪問權利，即憑證。RP保護資源，並驗證用戶的憑證。應當注意，用戶可以向RP表明由 不同RH頒發的憑證，這在授權系統中是普遍的做法。舉例說明，如果用戶既是A公司的黃金客戶(有第一RH的憑證)，又是B公司的黃金客戶 (有第二RH的憑證)，則(第三RH的RP)給予其對C公司資源的黃金 成員訪問權。希望實現具有如下特點的高隱私性的授權系統(1) 不可關聯(unlinkable)的匿名性。用戶與一個或多個RH多次 交互之後， 一個RH或多個RH難以探知用戶的身份。並且，在用戶與一 個或多個RP多次交互之後， 一個RP或多個RP難以探知用戶的身份。(2) 可伸縮(scalable)。用戶匿名地向RP表明(一個或多個)憑證 並使RP信服，而不用在線地涉及第三方。特別地，對於用戶和(一個或 多個)RP之間的每次交互，都不需要(一個或多個)RH重新頒發憑證。(3) 精細(fine-grained)的匿名性。取代總是向(一個或多個)RP 表明全部憑證，用戶可以選擇其憑證的任何部分來表明給(一個或多個) RP。(4) 精細的可吊銷性。可以基於每用戶每憑證來進行(一個或多 個)憑證的吊銷。用戶的任何訪問權，即用戶的任何憑證，可以被吊銷， 而不影響該用戶的其他憑證。(5) 恆量的高代價計算。當實現了精細的匿名性時，高代價的密碼 計算的數量與被選擇要表明的憑證的數目不相關。例如，標量乘法、模指 數運算、雙線性對計算一般被認為是高代價的。以及，當實現了精細的可 吊銷性時，高代價的密碼計算的數量與被選擇要驗證是否被吊銷的憑證的 數目不相關。(6) 可擴充。在授權系統擴充為容納新的RH，或者現有的RH擴充 為管理新的資源的情況中，不需要改變用戶已有的憑證。特別地，應當避 免任何已頒發憑證的重新頒發。在D. Chaum, J. H. Evertst， A Secure and Privacy-protecting Protocol for Transmitting Personal Information Between Organizations. In Proc. of Advances in Cryptology — Crypto，86， LNCS vol. 263, pp. 118~167, 1986中，首先介紹了這樣的情形多個用戶向資源持有者請求憑證，然後匿名地向 資源保護者出示憑證。在該文獻和下面提到的文獻中，使用了術語"組織(organization)"，來表示資源持有者和資源保護者的邏輯組合。Chaum等提出的上述方案的基礎是在所有的交互中都涉及受信第三 方。由 Chen (參見 L. Chen, Access with Pseudonyms, In Proc. of International Conference on Cryptography: Policy and Algorithms, LNCS vol. 1029, pp. 232~243, 1995)禾口 Lysyanskaya等(參見A. Lysyanskaya, R. Rivest, A. Sahai， S. Wolf, Pseudonym Systems. In Proc. of Selected Areas in Cryptography, LNCS vol.1758, pp. 184~199， 1999)提出的後來的方案也是 依賴於在所有的交互中都要被涉及的受信第三方。為了實現不可關聯性， 不可避免地需要使得資源持有者為用戶和資源保護者之間的每次交互都重 新頒發憑證。因此，這些匿名憑證方案不是可伸縮的。另外，Camenisch等也提出了兩種匿名憑證方案(參見J. Camenisch, A. Lysyanskaya, An Efficient System for Non-transferable Anonymous Credentials with Optional Anonymity Revocation, In Proc. of Advances in Cryptology — EuroCrypto，Ol, LNCS vol. 2045, pp. 93~118， 2001禾口 J. Camenisch, A. Lysyanskaya. Signature Schemes and Anonymous Credentials from Bilinear Maps, In Proc. of Advances in Cryptology — Crypto'04, LNCS vol. 3152, pp. 56~72, 2004)，其實現了不可關聯的匿名性和可伸縮性。但是，在前述各種傳統方案中，資源持有者可以管理的資源是由資源 持有者的公鑰中的一些參數確定的。對參數的修改必然導致要刷新已經頒 發的憑證。因此，沒能實現可擴充性。並且，在傳統方案中，要麼用戶的憑證被資源持有者捆綁在一起，用 戶必須向資源保護者表明全部憑證(如圖17所示)，要麼高代價的密碼 計算的數量是與所表明的憑證的數目成比例的。因此，沒能實現精細的匿 名性和恆量的高代價計算。另外，在傳統方案中，為了吊銷用戶的一個訪問權，唯一的辦法是吊 銷該用戶的全部訪問權，即，使得該用戶的全部憑證都無效，然後向該用 戶重新頒發憑證，如圖17所示。因此，沒能實現精細的可吊銷性。發明內容鑑於上述問題，作出了本發明。根據本發明的一個方面，提供了一種用於通信系統的方法，包括頒 髮根偽名；獲取一個或多個資源憑證；從根偽名生成第一派生偽名；從所 述一個或多個資源憑證中選擇一組資源憑證；根據該組資源憑證，生成柔 性憑證；利用第一派生偽名和柔性憑證作出訪問請求；以及，在驗證第一 派生偽名和柔性憑證之後，準許該訪問請求。根據本發明的另一個方面，提供了一種在通信系統中管理偽名的裝置 (PA)，包括系統參數建立單元，被配置為建立系統參數；身份驗證單 元，被配置為執行用戶身份驗證；用戶偽名密鑰分配單元，被配置為為用 戶分配用戶偽名密鑰；和，根偽名生成單元，被配置為基於用戶偽名密 鑰，生成要頒發給用戶的根偽名。根據本發明的另一個方面，提供了一種在通信系統中管理偽名的方 法，包括當接收到來自用戶終端的用戶請求時，驗證用戶身份；如果用 戶身份通過驗證，則為該用戶分配用戶偽名密鑰；以及，基於用戶偽名密 鑰，生成根偽名。根據本發明的另一個方面，提供了一種在通信系統中管理一個或多個 資源的憑證的裝置(RH)，包括資源密鑰生成單元，被配置為為每個資 源生成資源私鑰和資源公鑰；偽名驗證單元，被配置為驗證用戶的派生偽 名；和，憑證信息生成單元，被配置為基於用戶的派生偽名，生成要發送 給該用戶的用戶終端的關於資源的憑證信息。根據本發明的另一個方面，提供了一種在通信系統中管理一個或多個 資源的憑證的方法，包括為每個資源生成資源私鑰和資源公鑰；當接收 到來自用戶終端的用戶請求時，驗證用戶的派生偽名；以及，如果驗證通 過，則基於派生偽名，生成要發送給該用戶終端的關於資源的憑證信息。根據本發明的另一個方面，提供了一種通信系統中的用戶終端，包 括根偽名獲取單元，被配置為獲取根偽名；資源憑證獲取單元，被配置 為獲取一個或多個資源憑證；派生偽名生成單元，被配置為從根偽名生成 第一派生偽名；和，柔性憑證生成單元，被配置為根據所選擇的一組資源憑證，生成柔性憑證。其中，用戶終端使用第一派生偽名和柔性憑證來獲 得對與該組資源憑證相對應的一組資源的訪問。根據本發明的另一個方面，提供了一種用於通信系統中的用戶終端的 方法，包括獲取根偽名；獲取一個或多個資源憑證；從根偽名生成第一 派生偽名，並根據所選擇的一組資源憑證，生成柔性憑證；以及，使用第 一派生偽名和柔性憑證來獲得對與該組資源憑證相對應的一組資源的訪 問。根據本發明的另一個方面，提供了一種在通信系統中管理對一個或多 個資源的訪問的裝置(RP)，包括偽名驗證單元，被配置為驗證用戶的 派生偽名；柔性憑證驗證單元，被配置為驗證用戶的柔性憑證；和，授權 單元，被配置為基於偽名驗證單元和柔性憑證驗證單元的驗證結果，授權 用戶訪問與柔性憑證相對應的一組資源。根據本發明的另一個方面，提供了一種在通信系統中管理對一個或多 個資源的訪問的方法，包括驗證用戶的派生偽名；驗證用戶的柔性憑 證；以及，基於派生偽名和柔性憑證的驗證結果，授權用戶訪問與柔性憑 證相對應的一組資源。本發明還提供了具有機器可讀介質的製品，該機器可讀介質上記錄有 能夠使得處理器執行根據本發明的方法的指令。根據本發明的方案，用戶在被授予資源憑證之後，不論多少次向資源 保護者出示其憑證，都可以保持匿名性，而不需要再次聯繫資源持有者。 並且，在PA的公鑰被確定和公布之後，PA可以容納的RH的數量可變。 在資源持有者的公鑰被確定和公布之後，資源持有者可以管理的資源的數 量可以不固定，而不需改變已經頒發的憑證。另外，用戶可以有選擇地向資源保護者出示其全部訪問權的集合的任 何一部分。並且，用於用來證明其任何一部分訪問權的計算開銷與要被證 明的權利的數量無關(與僅證明一個權利的計算開銷相同)。另外，偽名機構可以吊銷用戶的任何一個訪問權，而不改變用戶的其 他權利。並且，偽名機構可以在不涉及資源持有者的情況下進行該吊銷。 換句話說，實現了精細吊銷，並且吊銷不用到資源持有者的私鑰。驗證任意多個訪問權是否被吊銷所需要的高代價計算量是衡量的，即與驗證一個 訪問權是否被吊銷所需要的高代價計算量相同。從下面結合附圖的詳細描述中，可以看出本發明的其他特徵和優點。 注意，本發明並不限於圖中所示的示例或者任何具體的實施例。


結合附圖，從下面對本發明優選實施例的詳細描述，將更好地理解本 發明，附圖中類似的參考標記指示類似的部分，其中圖1是示意性地示出了根據本發明的方案的一般性概念的示圖；圖2是示出了根據本發明的憑證使用和吊銷的示意圖；圖3是示出了根據本發明第一實施例的PA的示例配置的框圖；圖4是示出了根據本發明第一實施例的RH的示例配置的框圖；圖5是示出了根據本發明第一實施例的用戶終端的示例配置的框圖； 圖6是示出了根據本發明第一實施例的RP的示例配置的框圖； 圖7是示出了根據本發明第一實施例的PA建立過程的流程圖；圖8是示出了根據本發明第一實施例的RH建立過程的流程圖；圖9是示出了根據本發明第一實施例的根偽名頒發過程的流程圖；圖IO是示出了根據本發明第一實施例的憑證頒發過程的流程圖；圖11是示出了根據本發明第一實施例的授權過程的流程圖；圖12是示出了根據本發明第三實施例的PA的示例配置的框圖；圖13是示出了根據本發明第三實施例的RH的示例配置的框圖；圖14是示出了根據本發明第三實施例的用戶終端的示例配置的框圖；圖15是示出了根據本發明第三實施例的資源保護者的示例配置的框圖；圖16是示出了傳統技術的授權系統的框圖；以及 圖17是示出了傳統技術的授權和吊銷方案的示圖。
具體實施方式
圖1示意性地示出了根據本發明的方案的一般性概念。如圖1所示，偽名機構PA向用戶頒髮根偽名，用戶利用從根偽名自己計算出的派生偽 名，從資源持有者RH獲得資源憑證。當用戶希望訪問一個或多個資源 時，用戶從其全部資源憑證中選擇與希望訪問的資源相對應的一組資源憑 證，從這組資源憑證生成一個憑證。該憑證可以由用戶基於所選的任何資 源憑證來生成，這裡將其稱為柔性憑證。然後，用戶向資源保護者RP出 示所生成的柔性憑證和從根偽名計算得到的派生偽名，經過資源保護者RP的驗證之後，獲得對希望的資源的訪問。根據本發明的方案，用戶可以從根偽名生成大量彼此不同的派生偽 名，在每次與資源保護者的交互中，用戶可以使用不同的派生偽名，而不 需要向偽名機構的多次申請。圖2是示出了根據本發明的方案的憑證使用和吊銷的示意圖。如圖2所示，與如傳統技術中將全部資源憑證出示給資源保護者不同，用戶可以 選擇一部分資源憑證，從其生成一個柔性憑證，並將該柔性憑證發送給資 源保護者進行驗證。另外，利用該柔性憑證，驗證過程僅在用戶與資源保 護者之間進行，並不涉及偽名機構或資源持有者。另外，本發明的偽名機構PA可以吊銷用戶的資源憑證。並且，偽名機構PA可以維護吊銷列 表，從而實現精細的吊銷，即僅吊銷用戶的一個或多個資源憑證，而不影 響用戶的其他資源憑證。下面參考附圖描述根據本發明的示例性實施例。應當意識到，所描述 的實施例僅是用於舉例說明的目的，本發明並不限於所描述的具體實施 例。[第一實施例]在下面的描述中，使用了傳統乘法群(multiplicative group)符號作為 示例。但是，本領域的技術人員可以認識到，也可以類似地採用經常在橢 圓曲線設置中使用的加法符號。令G產〈仂〉和 2=〈必〉以及另一個《=〈》〉均為有限循環群，使得l^i二l(G2l叫gi二;7,其中p是某個大素數。雙線性映射(參見D. Boneh, M. Franklin, /cfewri(y-jBoset/ ￡>zc/7/>rtow戶om /力e ^Tez7屍c^n'"g, Proc. Ctypto，Ol,LNCS, vol.2139, pp. 213 229, 2001; S. Galbraith, K. Harrison, D. Soldera, 7mp/emew"wg &e Tate ptn.nVzg, Proc. of the 5th International Symposium on Algorithmic Number Theory, LNCS 2369， 324~337， 2002;以及A. Miyaji， M.Nakabayashi, S. Takano, ^/Vew ￡!xp/z.c" Cow必/cw5 o/五〃—.c Cwrvas1 /or i7/ -re^crto", IEICE Trans. Fundamentals, E84-A(5): 1234~1243, 2001， 以上文 獻通過引用全文結合於此)e:(^xG2—^是一個函數，滿足以下要求i. 雙線性(bilinear):對於所有^e^， /i2eG2，並且對於所有a》ii. 非退化(non-degenerate) : 3A!e(！^， 3A2eG2，使得/z2)#/， 其中/是G的么元(identity);並且iii. 可計算存在用於計算e的高效算法。建立算法^ft^(，)被定義為對於輸入安全參數1"，輸出上述雙線性映射的配置，並且表示為(A Gi, G2, G，化，e)—5,(1*)其中"意思是系統的安全長度被選擇為M立。由於Gp G2和g具有相同素數階p，因此根據雙線性性質和非退化性 質，可以容易地知道6(仂，&)=^系統配置根據本發明的通信系統包括可以彼此通信的偽名機構PA、資源持有 者RH、資源保護者RP以及要訪問資源的用戶。圖3示出了根據本發明第一實施例的偽名機構PA 300的示例配置。 如圖3所示，PA 300主要包括互相耦合的用於建立系統參數的系統參數建 立單元310、用於執行用戶身份驗證的身份驗證單元320、用於為用戶分 配用戶偽名密鑰的用戶偽名密鑰分配單元330、用於為用戶生成根偽名的 根偽名生成單元340、用於存儲PA運行所需數據的存儲單元350，以及用 於與系統中的其他設備通信的通信單元360。圖4示出了根據本發明第一實施例的資源持有者RH 400的示例配1置。如圖4所示，RH 400主要包括互相耦合的用於為每個資源選擇資源私 鑰並計算資源公鑰的資源密鑰生成單元410、驗證用戶偽名的偽名驗證單 元420、用於基於用戶偽名為用戶生成關於資源的憑證信息的憑證信息生 成單元430、用於存儲RH運行所需數據的存儲單元440，以及用於與其他 設備通信的通信單元450。圖5示出了根據本發明第一實施例的用戶終端500的示例配置。如圖 5所示，用戶終端500主要包括互相耦合的用於獲取根偽名的根偽名獲取 單元510、用於從根偽名生成派生偽名的派生偽名生成單元520、用於獲 取資源憑證的資源憑證獲取單元530、用於從所選擇的資源憑證生成柔性 憑證的柔性憑證生成單元540、用於存儲用戶終端500運行所需數據的存 儲單元550，以及用於與其他設備通信的通信單元560。圖6示出了根據本發明第一實施例的資源保護者RP 600的示例配置。 如圖所示，RP 600主要包括互相耦合的用於驗證用戶的偽名的偽名驗證單 元610、用於驗證用戶的柔性憑證的柔性憑證驗證單元620、用於授權用 戶訪問資源的授權單元630、用於存儲RP 600運行所需數據的存儲單元 640，以及用於與其他設備通信的通信單元650。下面將詳細描述本發明第一實施例的示例過程。偽名機構建立當授權系統啟動時，PA需要確定希望的安全強度，選擇基本代數， 生成PA的私鑰，並公布PA公鑰。圖7示出了PA的具體建立過程。如圖7所示，在步驟S701， PA的系統參數建立單元310根據希望的 安全長度確定安全參數lk，並調用建立算法(p， G2,《化e)—在步驟S702，系統參數建立單元310隨機選擇整數a^z/作為PA 的私鑰，並計算^二5/EG2。在步驟S703， PA通過通信單元360公布其公鑰i^p、(p, G2, g， &，資源持有者建立圖8示出了根據本發明第一實施例的資源持有者的具體建立過程。如 圖8所示，在得到PA的公鑰屍兀w之後，管理資源i / (7'=1,2,...,",)的資 源持有者i /^執行以下步驟在步驟S801， i g的資源密鑰生成單元410為每個i /選擇整數 RZ/，作為i /的資源私鑰，並計算每個資源的資源公鑰5/二《eG2，戶l, 2,…，w(。在步驟S802，資源密鑰生成單元410還為每組S/生成關於資源私鑰 的知識證明籤名S/1XP((x》^ W}，產l, 2,…,", 通過2/, 7^^可以證明6/'-l。gf的知識。這裡，符號5KP代表所謂的知識證明技術(參見S. Goldwasser, S. Micali， C. Rackoff, T7ze i&wwWge Cowp/exz'(y o/ 7nterac"ve P廠o。/ 5ys/em5, 17th ACM Symposium on Theory of Computation, pp. 291~304, 1985，該文獻 通過引用結合與此)。已經提出了許多方法來以零知識證明離散對數知識 (參見A. Fiat, A. Shamir, //cw 7b屍rave Toi/rae^ PraWcfl/ 5b/wrio似to Jiiewf訴ca".cw朋d ^SVg 2她re iVoWems, Advances in Cryptology - CRYPTO'86, pp. 186~194， 1986; D. Chaum, DemcwWra^g屍cwses5iow o/ a D^cre/e 丄ogar"Aw w"Aowf Wevea/z'wg A， Advances in Cryptology — CRYPTO，86， pp. 200 212, 1987; D. Chaum, J. H. Evertse, J. van de Graaf， j /m; rave<i/Vo/oco/Advances in Cryptology - EUROCRYPTO，87, pp. 127~141, 1987; D. Chaum, T. P. Pedersen,腸〃W ZtoaZ^&s w"/z (9Zwervea, Advances in Cryptology — CRYPTO'92, pp. 89 105， 1993; K. Sako, J. Kilian, i ece^^F廠ee M^-7>/7eAdvances in Cryptology - CRYPTO，98， pp. 393 403， 1998;以及Ke Zeng, i^e"(iow，otw屍A7》/" "oi C謹戶^zg， LNCS 4043, pp. 207-222,EuroPKT06, 2006，其提供了如何計算和實現知識證明過程的具體的按步驟 的示例。以上文獻通過應用結合於此)。例如，S^((x,) : _5/=&^表示資源持有者^^可以證明其知道X"使得S/二仍、但是並未在計算上洩漏關 於》的任何信息。用於執行知識證明的各種傳統方法可以用在本發明的實施例中。由於 它們是本領域中公知的，所以這裡不對其詳細描述。對本領域的技術人員 來說很明顯，交互式和非交互式知識證明都可以用在本發明的實施例中。 非交互式知識證明可以減小用戶設備和服務設備之間的往返通信，因此， 在網絡使用和時間消耗方面是有利的。但是，它可能要求用戶設備和服務 設備共享相同的時間源點，以便防禦重放攻擊。交互式和非交互式變形的 優點和缺點是本領域技術人員公知的。返回參考圖8，在步驟S803, / S通過其通信單元430公布其公鑰 復嚴=脫2/)}，產1，2,…，"'，其中W是資源A/的公鑰。或者，代替 自己公布PI嚴，i^^可以將K5/, S/)}，戶l, 2,…， ，發送給PA，並由 PA公布/^嚴二((5/， 2/)}，戶1,2,…，",。如所公知的，2/表明了資源持 有者i^^按照不能攻擊系統的方式產生了 5/。實際上，也可以由偽名機構代替資源持有者來為資源持有者所管理的 資源分配資源私鑰，並發送給資源持有者。另外，資源私鑰的知識證明籤 名以及資源公鑰也可以由偽名機構來計算並公布。在本發明的另外的實施 例中，偽名機構可以包括資源密鑰生成單元(未在圖中示出)，用於分配 資源私鑰、計算資源公鑰和/或生成資源私鑰的知識證明籤名。偽名頒發圖9示出了根據本發明的第一實施例的頒髮根偽名的具體過程。如圖 9所示，在得到PA的公鑰P^^之後，為了從PA得到根偽名，具有可驗 證身份t/的用戶與PA執行以下交互在步驟S901，用戶終端的根偽名獲取單元510向PA請求根偽名，並 通過通信單元560將用戶的可驗證身份t/發送給PA。在步驟S902， PA的身份驗證單元320驗證用戶身份t/，從而判斷是 否可以對該用戶頒髮根偽名。如果用戶未通過驗證，則PA不向用戶頒發 根偽名，過程進行到步驟S903，進行失敗處理。例如向用戶通知失敗原因並結束過程，或者要求用戶重新發送信息。如果判斷出可以向該用戶頒發偽名，則在步驟S904， PA的用戶偽名密鑰分配單元330在PA的資料庫(可以存儲在存儲單元350中)中尋找 對於t/存儲的用戶偽名密鑰^。如果找到匹配的用戶偽名密鑰，則過程進 行到步驟S906。否則，過程進行到步驟S905，用戶偽名密鑰分配單元330 為t/選擇zEj^/作為該用戶的偽名密鑰。在步驟S906， PA的根偽名生成單元340計算,二化一+》GG,作為用戶 的根偽名。在步驟S907， PA將(K z)保存在存儲單元350中的資料庫中，並通過 通信單元360將用戶偽名密鑰z和根偽名,發送給用戶。接收到PA發送的用戶偽名密鑰z和根偽名f之後，在步驟S908，用 戶終端的根偽名獲取單元510驗證A免,二e(仂，^)是否成立。如果驗證 失敗，則過程返回步驟S901,重新作出請求。或者，用戶向PA發送通 知，要求重新傳送數據。如果驗證通過，則在步驟S909,用戶在存儲單元550中存儲其用戶偽 名密鑰^和根偽名L注意，如所公知的，可以存在各種方法來使得PA驗證用戶身份並確 保用戶的可驗證身份t/與真實用戶之間的關聯。因為PA如何實現這一點 與本發明並不直接相關，因此這裡省略對其詳細描述。憑證頒發憑證頒發過程可以概念性地解釋為兩個階段。第一階段執行偽名驗 證，而第二階段頒發憑證。圖10示出了根據本發明第一實施例的頒發憑 證的具體過程。如圖10所示，在得到PA的公鑰屍《"和資源i /的公鑰5/ 之後，為了獲得對資源W的訪問權，具有用戶偽名密鑰z和根偽名f的用 戶與管理資源i^的資源持有者/ ^執行以下交互在步驟SlOOl，用戶終端的派生偽名生成單元520選擇re RZ/，並計算派生偽名T二f。在步驟S1002,用戶終端的派生偽名生成單元520計算知識證明籤名2 A): e(T, K化仍廣 免m在步驟S1003,用戶終端的資源憑證獲取單元530向資源持有者W7, 請求資源i /的憑證，並通過通信單元560將派生偽名T和知識證明籤名2發送到資源持有者/^;。在步驟S1004， i^^接收到2後，其偽名驗證單元420檢査Z的有效 性。如果2:是無效的，則i^/;不向用戶頒發憑證，過程進行到步驟 S1005，進行失敗處理。例如向用戶通知失敗原因並結束過程，或者要求 用戶重新發送信息。如果2是有效的，則在步驟S1006， i g的憑證信息生成單元430計 算憑證信息"，並通過通信單元450將憑證信息、'發送給用戶。用戶從Ag接收到憑證 <後，在步驟S1007，用戶終端的資源憑證獲 取單元530計算資源憑證％二<1/7。然後在步驟S1008，用戶終端的資源憑證獲取單元530驗證50= W是否成立。如果驗證失敗，則過程返回步驟SlOOl，重新作出請 求。或者，用戶向i^i發送通知，要求重新傳送數據。如果驗證通過，則在步驟S1009，用戶在存儲單元550中存儲、作為 對於資源A/的資源憑證。雖然上面以用戶請求資源A/的憑證為例，說明了憑證頒發的過程。但 是，很明顯，在資源持有者管理多個資源的情況下，用戶可以利用上述過 程的多次執行來獲得多個資源憑證，也可以在一次過程同時請求並獲得多 個資源憑證。當然，用戶也可以直接使用根偽名f從資源持有者獲取資源憑證。此 時，上述的派生偽名T被根偽名f代替，並且i /^將向用戶發送一'，而用 戶直接將-存儲為資源憑證。授權邏輯上，在授權之前進行認證。因此，授權過程一般可以分為兩個階 段。第一階段用於驗證用戶的偽名，第二階段用於驗證用戶的與其偽名相 關聯的憑證。圖ll示出了根據本發明第一實施例的具體授權過程。 給定PA的公鑰屍《w、資源持有者的公鑰{屍尺 ，並且用戶具有用戶 偽名密鑰Z、根偽名f和一組憑證A二(t^，用戶通過這組憑證可以訪問具 有一組公鑰3={5/}的資源i ={i /}。下面參考圖ll描述的步驟說明了用 戶使資源保護者i^確信其具有對由用戶選擇的資源子集及^A的訪問權 的過程。基於與^相對應的公鑰組》^凡用戶需要做的是表明其持有代表對 資源》的訪問權的憑證子集X^J。不喪失一般性，這裡將》寫為^ = {&}，將》寫為》二^J， ^=1,2, ...,S。作為用戶秘密的憑證子集是X二{~}，『1，2,…，3。在步驟S1101，用戶終端的派生偽名生成單元520選擇rG RZ/，並計算派生偽名T二f。注意，在授權過程中一般使用與上述憑證頒 發過程中所用的派生偽名不同的派生偽名。這可以通過選擇不同的T來實 現。以下為了簡化描述，各種派生偽名均使用相同的符號T表示。但是應 當理解，根據本發明，每次憑證頒發過程和每次授權過程中使用的派生偽 名都可以不同。在步驟S1102，用戶終端的柔性憑證生成單元540選擇與要訪問的資 源相對應的資源憑證子集^={~}， vp=1,2, 3。要訪問的一個或多個資 源例如可以由柔性憑證生成單元540根據用戶的命令(例如來自另外的輸 入裝置的用戶輸入)來確定。或者，用戶終端還可以包括與柔性憑證生成 單元540相耦合的另外的資源選擇單元(未示出)，用於選擇希望訪問的 資源。在步驟S1103，用戶終端的柔性憑證生成單元540根據所選的憑證子集計算柔性憑證v二(n )T。在步驟S1104，用戶終端的派生偽名生成單元520計算知識證明籤名 2 -SXP((x!， x2) : e(T, J)二e(力，&廣 (e(廠1,然後，在步驟S1105，用戶向RP請求授權訪問資源》，並通過通信 單元560將柔性憑證V、派生偽名T和知識證明籤名S發送給資源保護者 RP。在接收到S和柔性憑證V之後，RP的偽名驗證單元610在步驟S1106檢查2:的有效性。如果i:是無效的，則RP拒絕用戶，過程進行到步驟S1107，進行失敗處理。例如向用戶通知失敗原因並結束過程，或者要求 用戶重新發送信息。如果2是有效的，則在步驟S1108， RP的柔性憑證驗證單元620檢查 e(T, n&)二"V,免)是否成立。如果等式不成立，則過程進行到步驟S1107,進行失敗處理。例如向用戶通知失敗原因並結束過程，或者要求 用戶重新發送信息。如果等式成立，則RP確信用戶具有對資源^的訪問權，其中^是A 的子集。於是在步驟S1109， RP的授權單元630允許用戶訪問資源^。當然，用戶也可以直接使用根偽名和柔性憑證來與RP交互。本領域 技術人員可以容易地設計相應的過程，因此這裡省略對該過程的詳細描 述。顯然，與傳統技術中需要表明全部憑證不同，根據本發明，在憑證驗 證期間，用戶可以自由地選擇任何一部分憑證來表明給資源保護者。歸功 於e(T, fl&)二e(V,仍)的批量驗證，高代價的密碼計算的量，尤其是有限循環加法群中的標量乘法、有限循環乘法群中的模指數運算以及雙線性對 計算的量，保持相同，與具體哪些憑證要被表明無關。在上面描述的實施例中，並未提及PA的追查的能力。但是，根據本 發明的匿名柔性憑證方案，可以對PA添加追查和吊銷的能力。下面將描 述具有追查和吊銷能力的本發明的另外的實施例。[第二實施例]下面描述根據本發明的具有追查能力的第二實施例。 如上所述，憑證頒發過程和授權過程的第一階段驗證了用戶的偽名。 因此，僅需要對偽名頒發和偽名驗證稍作修改，便可以使得PA具有追査 能力。注意，實際中，追查和吊銷可以分別被指派給另外的追查機構或吊 銷機構。但這並不影響本發明的實質。本領域的技術人員可以設計各種方案。例如，可以採用D. Boneh, X.Boyen, H. Shacham, Short Group Signatures. In Proc. of Advances in Cryptology — Crypto，04， LNCS vol. 3152， pp. 41~55, 2004或K. Zeng. Pseudonymous PKI for Ubiquitous Computing. In Proc. of 3rd European PKI Workshop: theory and practice (EuroPKI，06), LNCS vol. 4043, pp. 207 222, 2006中描述的標準做法，上述文獻通過引用全文結合於此。此外，這樣的修改還可以使得PA具有吊銷的能力。但是應當注意， 利用傳統技術的修改，得到的吊銷能力不是精細的。換句話說，PA只能 同時吊銷用戶的偽名及其全部憑證。下面，以K. Zeng. Pseudonymous PKI for Ubiquitous Computing. In Proc. of 3rd European PKI Workshop: theory and practice (EuroPKI'06), LNCS vol. 4043, pp. 207~222, 2006中提出的方法為例，說明本發明的具有追查能力的 一個實施例。本實施例的配置與上述本發明的第一實施例類似，並對其作 出了若干修改。為了清楚，下面僅描述本實施例與上述第一實施例的不同 之處，並且使用相同的參考標號表示類似的部分。注意，這裡的描述僅是 用於舉例說明的目的。如上所述，本領域的技術人員可以在本發明的匿名 柔性憑證方案的基礎上，利用其他各種方式，來實現PA的追查能力。下面描述對本發明第一實施例作出的示例修改。在偽名頒發期間，用戶需要計算並向PA發送用戶公鑰(A, A，以及 =^"E(G2，該參數用於追查目的，其中A是PA的公鑰/^^的附加參 數，^是用戶的私鑰。該計算例如可以由用戶終端的根偽名獲取單元510 執行，或者由另外的能夠得到或生成用戶私鑰和公鑰的單元執行。獲得和 使用用戶公鑰和私鑰的方法是本領域公知的，這裡省略對其的詳細描述。 用戶可以在上述圖9所示的步驟S901中，將用戶公鑰A&以及y'包括在用 戶身份中發送給PA。另外，在上述圖9所示的步驟S906中，代替,二仏一^eGp PA的根 偽名生成單元340將計算(~=仍1/(。， 4二(V^廣(。+z))EGA其中力二V & 將作為用戶的根偽名，&是PA的公鑰的附加參數，a是用戶的私 鑰。並且在步驟S907中，PA將向用戶發送"，Q (或者發送^以及力二^G)，並且還將存儲與用戶身份相對應的y'。然後，在步驟S909中，用戶除了存儲根偽名還存儲偽名吊銷參數e=~，其中偽名吊銷參數e是用於非精細吊銷目的。對於憑證頒發過程和授權過程中的偽名驗證，用戶終端的派生偽名生成單元520將選擇整數r￡RZ/，計算派生偽名T = f。另外，用戶還將計 算追查參數Ty=T"，並根據偽名吊銷參數生成與派生偽名T一同使用的 偽名吊銷驗證參數0= ^ (例如，由用戶終端的派生偽名生成單元520在 上述圖IO所示的步驟S1001和圖11所示的歩驟S1101中完成該計算，並 且在上述圖IO所示的步驟S1003和上述圖11所示的步驟S1105中，用戶 還將l和0發送給RH或RP)。注意，在憑證頒發過程和授權過程中， 用戶可以選擇不同的r"，以便生成不同的派生偽名。並且，例如在上述圖10所示的步驟S1002和上述圖11所示的步驟 S1102中，用戶終端的派生偽名生成單元520計算知識證明籤名 2 二5KP((Xi，JC2,X3) : e(T,^)二《1 . . ", A 1=(T—i嚴.T,Ae( ,2=e(0s '，仍)，v3=e(/i,仍)，"4二e(化，S —\依)從而，當需要追查使用派生偽名的用戶的真實身份時，PA可以對存 儲在其資料庫中的所有y'檢查e(T, y')=<i;，仍)是否成立，從匹配的y'找到 用戶偽名密鑰和其身份。這樣，利用少量修改，PA具有了追查任何用戶 的真實身份及其用戶偽名密鑰的能力。在這種情況下，PA可以包括執行 査找的追査單元(未在圖中示出)。應當注意，在憑證頒發階段，資源保護者^;將使用T二(^ /J來向用戶頒發憑證，用戶的資源憑證將是~=(~ 0~。由於以後改變^和^將 使得用戶全部的偽名T無效，從而全部的^.無效，即，使得用戶的憑證無 效，因此針對非精細的吊銷目的，添加了偽名吊銷參數9及其相關的知識 證明籤名。相應地，PA可以包括利用上述關於偽名吊銷參數^的機制， 吊銷用戶派生偽名的吊銷單元。例如，該吊銷單元使得偽名吊銷參數9無 效來使得用戶的根偽名和從該根偽名生成的任何派生偽名無效。本領域的技術人員可以容易地設計吊銷機制。例如，將D. Boneh, X.Boyen， H. Shacham， Short Group Signatures. In Proc. of Advances in Cryptology — Crypto，04， LNCS vol. 3152, pp. 41 55, 2004中的機制應用於偽名吊銷參數 ^當然，僅對於追查匿名用戶的真實身份而言，偽名吊銷參數^並非是 必需的。在用戶的根偽名和從其生成的派生偽名被吊銷之後，用戶不能夠再通 過偽名驗證過程。自然，與該用戶的根偽名和派生偽名相關聯的全部憑證 都被吊銷了。因此，上述實施例所實現的吊銷不是精細的。上面給出了基於用戶的私鑰A進行追查的一個示例。然而，本領域技 術人員可以理解，在本發明中也可以使用其他參數和追查算法來實現偽名 機構的追查能力。例如，可以使用已有的或另外設計的某個參數(用戶唯 一參數)，只要該參數對於用戶來說是唯一的，並且偽名機構能夠從用戶 的派生偽名或與派生偽名一起使用的信息中重構該參數，且該參數對於其 他方來說是不可計算的。例如，禾U用D. Boneh, X.Boyen, H. Shacham, Short Group Signatures. In Proc. of Advances in Cryptology — Crypto'04, LNCS vol. 3152, pp. 41 55, 2004中公開的另一種追查機制，可以在本發明中使用用戶偽名密鑰2來實 現追查能力。下面簡要描述基於用戶偽名密鑰-實現追查的一種示例性的 過程。首先，PA公布額外的公鑰(w, v, /0，並且PA保持私鑰(x，力，使得 A=i/=/。其中，w， v和A都是群G!的元素。對於憑證頒發過程和授權過程中的偽名驗證，代替上述示例中的Ty， 用戶從Z/中選擇整數a和/5，並計算追查參數T屍ua， TyV3， T3=</^。 在相應的知識證明(計算知識證明籤名)中，用戶向資源持有者或資源保 護者發送TP 丁2和T3，並相對於基數m， v， A和化，分別證明a, /5， of/3 和z的知識。例如在上述圖10所示的步驟S1002和上述圖11所示的步驟SI 102 中，用戶終端的派生偽名生成單元520計算知識證明籤名 formula see original document page 26formula see original document page 26formula see original document page 27其中formula see original document page 27
給定用戶的有效的知識證明，偽名機構能夠通過計算"^TVOVT/),從Tp T2和T3解出貝z。由於每個用戶的用戶偽名密鑰z是不同的，因此可以利用化z唯一地識別出用戶，從而實現了追查。如本領域技術人員所能理解的，追査能力的實現並不限於基於用戶私鑰A或用戶偽名密鑰二而是，還可以利用已有技術中任何適當的參數和算法，或者另外設計的參數和算法來實現追查。因此，在本發明的精神和範圍中，本領域技術人員能夠對上述實施例作出各種替換、修改或改進，而不脫離本發明的精神和範圍。在本發明的另外的實施例中，可以實現精細的方法，即可以吊銷用戶的任何憑證而保留用戶的其他憑證的有效性。下面將描述這樣的實施例的示例。[第三實施例]下面描述本發明的具有精細吊銷能力，即能夠基於每用戶每憑證來進 行吊銷的示例性實施例。假設用戶^具有用戶偽名密鑰5和對資源A/的訪問權。 一些情況中， 由於用戶的不良行為或者其他原因，需要吊銷其例如關於資源i /的資源憑 證。根據本發明的該實施例，PA可以只吊銷用戶G關於資源i /的資源憑 證，而不是使用非精細的吊銷來吊銷用戶的全部憑證。 一般，在每用戶每 憑證的吊銷之前，PA需要執行追查，以發現用戶^的真實身份及其用戶 偽名密鑰5 。可以例如使用上述第二實施例中描述的方法來進行追査。下面簡要描述具有精細吊銷能力的第三實施例。只需對上述第一實施例的PA、 RH、用戶和RP的配置添加相應的用 於吊銷和更新的部分，就可以實現根據本發明第三實施例的具有精細吊銷 能力的方案。圖12 圖15分別示出了根據本發明第三實施例的PA、 RH、用戶和RP的示例配置。具體地說，如圖12所示，根據本發明第三實施例的PA 1200除了具有如圖3所示的那些部分，還具有用於吊銷任一用戶的任一資源憑證的吊 銷單元1201。如圖13所示，根據本發明第三實施例的RH 1300除了具有 如圖4所示的那些部分，還具有用於初始化或維護吊銷列表的吊銷列表單 元BOl。如圖14所示，根據本發明第三實施例的用戶終端1400除了具有 如圖5所示的那些部分，還具有用於更新憑證吊銷參數的吊銷參數更新單 元1401。如圖15所示，根據本發明第三實施例的RP 1500除了具有如圖6 所示的那些部分，還具有用於獲取最新的吊銷列表的吊銷列表獲取單元 1501。下面將詳細描述本發明第三實施例的示例過程。在資源持有者建立過程中，資源持有者i^/,在上述圖8所示的步驟 S801生成每個資源A/的私鑰^￡^/和公鑰5/=< GG2，戶l, 2,…， ， 之後，其吊銷列表單元1301對每個7 /初始化吊銷列表^:/={(化/,厶)}， 其中，化/二^EGp A代表還沒有發生吊銷，艮卩，二元組(仏/,A)是^/ (戶1，2,…，",)中的第一行。然後，在上述圖8所示的步驟S802中，資源密鑰生成單元410將為 每組S/和力/'，生成如下知識證明籤名2/4KP{(x》S/WAW = ^}， )=1,2，…，",並且在上述圖8所示的步驟S803中，Ag公布其公鑰 ^/, 2/)}， 7=1， 2,…， 。同樣，另外，代替自己公布屍《嚴'i^可以將 脫M/, 2 /)}發送給PA，並由PA公布。實際上，也可以由PA為每個A/.生成初始吊銷列表。例如，在本發明 的另外的實施例中，在PA從資源持有者得到資源私鑰和公鑰，或者由PA 生成資源私鑰和公鑰的情形中，資源的初始吊銷列表可以例如由PA的吊 銷單元1201來執行。在憑證頒發過程中，用戶在上述參考圖10描述的步驟S1009中，除 了 ％，用戶還將存儲其中,是針對每用戶每憑證吊銷的目的而 添加的憑證吊銷參數，該憑證吊銷參數可以由用戶終端的吊銷參數更新單 元1401作為初始值而生成。下面描述PA吊銷用戶^關於資源i /的資源憑證的過程。 首先，PA的吊銷單元1201從與資源i /相關的吊銷列表M/的最後 (最新的) 一行獲取W。然後，吊銷單元1201計算私=。然後，吊銷單元1201向吊銷列表M/添加新的行(私,巧，並通過通信 單元340公布更新的吊銷列表。考慮具有用戶偽名密鑰^和憑證(、,)的另一用戶U，該用戶U被授 權訪問資源W/。由於用戶U的關於資源i /的資源憑證沒有被吊銷，因此 每當資源i /的更新的吊銷列表公布之後，即添加了新的一行，用戶U的 吊銷參數更新單元1401可以將其用於資源A/.的憑證吊銷參數,更新為 A, =(^/%.)1/(") °很容易驗證出=《1/(a+i)=私。注意，每當資源的吊銷列表被添加了新的一行，用戶U都可以相應地 更新相關的憑證吊銷參數。或者，用戶U可以僅在需要的時候或者定期 地，根據資源的吊銷列表中的吊銷歷史(之前的各個行)和最新的一行， 完成憑證吊銷參數的更新。應當注意，授權系統也可以令PA向資源W/的資源持有者發送 (私,S)，並要求資源持有者更新化/。在這種情況下，資源持有者的吊銷列 表單元執行資源的吊銷列表更新。但是根據本發明的精細吊銷，吊銷並不 使用任何資源持有者的密鑰。因此，可以不需要經過資源持有者的允許或 涉及資源持有者，PA自身就能夠實現精細的吊銷。下面描述根據本發明第三實施例的授權過程。假設在授權過程期間，資源保護者尤為關心用戶關於資源A 的資源憑證是否被吊銷了。於是，用戶U的吊銷參數更新單元1401和資 源保護者的吊銷列表獲取單元1501都將從與資源i^相關的吊銷列表虹的最後一行獲取化*。並且，在上述參考圖11描述的授權過程的步驟 S1103中，用戶U的柔性憑證生成單元540除了根據所選的憑證子集計算柔性憑證v=(n :r，還根據資源^的憑證吊銷參數計算憑證吊銷驗證參數W二^T。然後，在上述參考圖11描述的步驟S1104中，用戶U將計算如下知 識證明籤名formula see original document page 30現在， 一個有效的2不僅證明了用戶U具有對資源》的訪問權，而且 還使得^確信其關於資源^e^的資源憑證未被吊銷。而由於被吊銷了 關於A的資源憑證的用戶不能有效更新其憑證吊銷參數，因此無法生成有 效的知識證明籤名，從而無法通過授權過程。如果RP關心更多的資源憑證是否被吊銷了，例如不僅Ae《還有 i m e i ，則戶U的吊銷參數更新單元1401將進一步更新關於資源TC的憑 證吊銷參數wm，並且資源保護者的吊銷列表獲取單元1501將進一步 從與資源i^相關的吊銷列表M的最後一行獲取化,並且，在上述參考 圖11描述的授權過程的步驟S1103中，用戶U的柔性憑證生成單元540 計算憑證吊銷驗證參數W=(W^Jt。然後，在上述參考圖11描述的步驟 S1104中，用戶U將計算如下知識證明籤名E = Siff((工^): e(T,洵=e(仏,&戶.Wr1,"}" Ae(W，局=e(^《，^廣■ ，m)—U)了}當然，也可以類似地在一次知識證明中驗證更多個憑證是否被吊銷。 容易看到，根據本發明的精細吊銷能力，所需要的高代價計算量與需要特 別驗證的是否被吊銷的資源憑證個數無關(即與驗證一個資源憑證是否被 吊銷相同)。上面描述了根據本發明的PA精細吊銷能力。當然，代替由PA執行 追查和吊銷，也可以在系統中設立另外的追查機構和吊銷機構來利用本發 明的上述方法進行執行追査和吊銷。另外，PA或另外的吊銷機構就也可以同時具有根據本發明的精細吊 銷能力和非精細吊銷能力，例如上述第二實施例中的利用偽名吊銷參數^ 的吊銷，從而可以選擇性地執行精細和非精細的吊銷。由於本領域技術人 員根據上述說明，可以容易地將用於非精細吊銷的參數和相關知識證明結 合到上述具有精細吊銷能力的方案中，因此這裡省略其算法的具體描述。根據本發明的一個替代實施例，可以由PA的吊銷單元1201進行精細和非精細的吊銷。根據上述描述可以看出，本發明具有以下效果在用戶被授權之後，無論用戶多少次向RP表明其憑證，用戶都可以 保持匿名，而不需要再次聯繫RH和/或PA。同時，在PA的公鑰被確定和公布之後，PA可以容納的RH的數量可變。類似的，在資源持有者的公鑰被確定和公布之後，資源持有者可以管理的資源的數量可以不固定，而不 需改變己經頒發的憑證。用戶可以有選擇地向RP同時表明其全部訪問權中的任何一個或多 個，並且用戶證明其任何一部分訪問權時的計算成本與被證明的權利的數 目無關(與證明一個權利的計算成本相同)。PA可以吊銷用戶的任何一個資源憑證，而不改變用戶的其他權利。 並且，PA可以吊銷用戶的訪問權而不涉及到RH，換句話說，實現了不需 要RH的密鑰的精細的吊銷。另外，驗證任意多個資源憑證是否被吊銷所 需要的高代價計算量是衡量的，即與驗證一個資源憑證是否被吊銷所需要 的高代價計算量相同。上面已經參考附圖描述了根據本發明的具體實施例。但是，本發明並 不限於圖中示出的特定配置和處理。例如，在上述各種交互中，還可以採用各種方法來了保證安全。例如 對於上述憑證頒發過程中的關於使用知識證明籤名的步驟，時變參數可以 被用來抵抗重放和交錯攻擊，提供唯一性和時間性的保證，並防止某些選擇文本攻擊(參見A. Menezes, P. van Oorschot, S, Vanstone, Handbook ofAppliedCryptography.CRC Press, 1996，其通過引用全文結合於此)。時變 參數例如是時間戳或者隨機數挑戰。為了簡明起見，這裡省略對這些已知 方法的詳細描述。在上述實施例中，使用了傳統乘法群符號作為示例，但是本領域的技 術人員將認識到，也可以類似地採用在橢圓曲線設置中使用的加法符號。 在使用加法符號時，例如上述柔性憑證將被計算為V = 。在上述實施例中，描述和示出了若干具體的步驟作為示例。但是，本 發明的方法過程並不限於所描述和示出的具體步驟，本領域的技術人員可 以在領會本發明的精神之後，作出各種改變、修改和添加。例如，在上述第一實施例的步驟S1101 S1103中，用戶生成派生偽名T之後生成了柔性 憑證V，但是，用戶也可以先選擇T並生成柔性憑證V之後，生成派生偽名T。根據本發明的PA、 RH、用戶終端和RP可以實現為網絡中的或者可 耦合到網絡的各種設備，例如個人計算機、伺服器、諸如行動電話、個人 數字助理、膝上型計算機等行動裝置等等，也可以實現為上述各種設備中 的硬體或軟體模塊。雖然作為PA、 RH、用戶終端和RP的示例性配置，附圖中已經示出 了耦合在一起的某些單元和模塊。但是，每種設備所包括的部分並不限於 所描述的這些單元和模塊，並且具體的配置可以被修改或改變。例如，一 些被示出為分立的單元可以組合在一起，或者一個單元可以按照其功能被 分為若干個單元。例如，圖示的存儲單元可以被實現為若干部件，其中每 個部件被結合到一個單元中用於存儲該單元的數據。另外，雖然示出了分別具有特定功能的示例性的單元和模塊，但是單 元和模塊的功能劃分並不限於所示出的示例，而是可以進行任何修改、交 換和組合。例如，上述偽名吊銷驗證參數和憑證吊銷驗證參數分別由用戶 的派生偽名生成單元和柔性憑證生成單元生成，但是關於各種吊銷參數的 計算也可以代替地由吊銷參數更新單元或者另外的單元執行。又例如，代 替上述相關單元生成知識證明籤名，各個設備也可以另外具有分別的知識 證明單元用於進行相關的知識證明。另外，PA、 RH、用戶終端和RP中的每一個也可以同時具有其他方的 功能，例如，RH和RP可以同時實現在同一個伺服器中。另外，當實現為具體的設備時，PA、 RH、用戶終端和RP還可以包括 作為具體設備所需的其他單元，例如用於向操作者顯示信息的顯示單元、用於接收操作者的輸入的輸入單元、用於控制每個單元的操作的控制器等 等。由於這些部件是本領域中公知的，因此並未對其詳細描述，並且本領 域的技術人員將容易地想到將它們添加到上述的設備中。本發明的元素可以實現為硬體、軟體、固件或者它們的組合，並且可 以用在它們的系統、子系統、部件或者子部件中。當以軟體方式實現時，本發明的元素是被用於執行所需任務的程序或者代碼段。程序或者代碼段 可以存儲在機器可讀介質中，或者通過載波中攜帶的數據信號在傳輸介質 或者通信鏈路上傳送。"機器可讀介質"可以包括能夠存儲或傳輸信息的 任何介質。機器可讀介質的例子包括電子電路、半導體存儲器設備、ROM、快閃記憶體、可擦除ROM (EROM)、軟盤、CD-ROM、光碟、硬碟、 光纖介質、射頻(RF)鏈路，等等。代碼段可以經由諸如網際網路、內聯網 等的計算機網絡被下載。本發明可以以其他的具體形式實現，而不脫離其精神和本質特徵。例 如，特定實施例中所描述的算法可以被修改，而系統體系結構並不脫離本 發明的基本精神。因此，當前的實施例在所有方面都被看作是示例性的而 非限定性的，本發明的範圍由所附權利要求而非上述描述定義，並且，落 入權利要求的含義和等同物的範圍內的全部改變從而都被包括在本發明的 範圍之中。
權利要求
1.一種用於通信系統的方法，包括頒髮根偽名；獲取一個或多個資源憑證；從所述根偽名生成第一派生偽名；從所述一個或多個資源憑證中選擇一組資源憑證；根據所述一組資源憑證，生成柔性憑證；利用所述第一派生偽名和所述柔性憑證作出訪問請求；以及在驗證所述第一派生偽名和所述柔性憑證之後，準許所述訪問請求。
2. 根據權利要求1所述的方法，還包括 為每個資源生成資源私鑰和資源公鑰。
3. 根據權利要求1所述的方法，其中，頒髮根偽名還包括 分配並存儲用戶偽名密鑰；以及 基於所述用戶偽名密鑰，生成所述根偽名。
4. 根據權利要求1所述的方法，其中，獲取一個或多個資源憑證包括利用所述根偽名，請求資源憑證；計算、=-，其中^是所述根偽名，W是所述資源的資源私鑰；以及 將^存儲為所述資源的資源憑證。
5. 根據權利要求1所述的方法，其中，獲取一個或多個資源憑證包括從所述根偽名生成第二派生偽名；以及 利用所述第二派生偽名獲取資源憑證。
6. 根據權利要求5所述的方法，其中，所述第二派生偽名被計算為T 二。其中/是所述根偽名，t是一個整數，並且其中，利用所述第二派生 偽名獲取資源憑證還包括計算憑證信息<="。其中，^是所述資源的資源私鑰；以及將~=<^存儲為所述資源的資源憑證。
7. 根據權利要求l所述的方法，其中，所述第一派生偽名被計算為T' =,，其中,是所述根偽名，T'是一個整數，並且，所述柔性憑證被計算為V二(ft"JT'或V二T'(^"J，其中 ，^=1,..., S，是所述一組資源憑證。
8. 根據權利要求1所述的方法，還包括根據用戶唯一參數生成追查參數，其中所述追查參數可以與所述根偽 名或從所述根偽名生成的派生偽名 一 同用於追查。
9. 根據權利要求1所述的方法，還包括頒發偽名吊銷參數，所述偽名吊銷參數可用於吊銷所述根偽名和從所 述根偽名生成的任何派生偽名；以及根據所述偽名吊銷參數生成與派生偽名一同使用的偽名吊銷驗證參數。
10. 根據權利要求1所述的方法，還包括 生成每個資源的初始吊銷列表；當一個資源憑證要被吊銷時，更新與所述資源憑證相對應的資源的吊 銷列表；以及根據更新的吊銷列表，更新關於所述資源的憑證吊銷參數，並生成憑 證吊銷驗證參數，其中，驗證所述第一派生偽名還包括基於資源的吊銷列表中的參數， 驗證憑證吊銷驗證參數。
11. 一種在通信系統中管理偽名的裝置，包括 系統參數建立單元，被配置為建立系統參數； 身份驗證單元，被配置為執行用戶身份驗證；用戶偽名密鑰分配單元，被配置為為用戶分配用戶偽名密鑰；禾口 根偽名生成單元，被配置為基於用戶偽名密鑰，生成要頒發給用戶的 根偽名。
12. 根據權利要求11所述的裝置，還包括 資源密鑰生成單元，被配置為生成資源私鑰和/或資源公鑰。
13. 根據權利要求11所述的裝置，還包括追查單元，被配置為利用用戶唯一參數追查使用派生偽名的用戶身份。
14. 根據權利要求13所述的裝置，其中，所述用戶唯一參數是用戶偽 名密鑰或用戶私鑰。
15. 根據權利要求11所述的裝置，還包括吊銷單元，被配置為通過使用戶的偽名吊銷參數無效，吊銷用戶的根 偽名和從所述根偽名生成的任何派生偽名。
16. 根據權利要求11所述的裝置，還包括吊銷單元，被配置為更新資源的吊銷列表，以吊銷一個關於該資源的 用戶資源憑證。
17. —種在通信系統中管理偽名的方法，包括 當接收到來自用戶終端的用戶請求時，驗證用戶身份； 如果所述用戶身份通過驗證，則為所述用戶分配用戶偽名密鑰；以及基於所述用戶偽名密鑰，生成根偽名。
18. 根據權利要求17所述的方法，還包括生成資源私鑰和/或資源公鑰。
19. 根據權利要求17所述的方法，還包括利用用戶唯一參數，追查使用派生偽名的用戶身份。
20. 根據權利要求19所述的方法，其中，所述用戶唯一參數是用戶偽名密鑰或用戶私鑰。
21. 根據權利要求n所述的方法，還包括通過使用戶的偽名吊銷參數無效，吊銷用戶的根偽名和從所述根偽名 生成的任何派生偽名。
22. 根據權利要求17所述的方法，還包括更新資源的吊銷列表，以吊銷一個關於該資源的用戶資源憑證。
23. —種在通信系統中管理一個或多個資源的憑證的裝置，包括資源密鑰生成單元，被配置為為每個資源生成資源私鑰和資源公鑰； 偽名驗證單元，被配置為驗證用戶的派生偽名；和 憑證信息生成單元，被配置為基於用戶的派生偽名，生成要發送給所述用戶的用戶終端的關於資源的憑證信息。
24. 根據權利要求23所述的裝置，還包括吊銷列表單元，被配置為生成或接收資源的初始吊銷列表。
25. 根據權利要求23所述的裝置，其中，所述偽名驗證單元還被配置為驗證所述用戶的偽名吊銷驗證參數。
26. 根據權利要求23所述的裝置，其中，所述憑證信息生成單元計算 <=^作為資源的憑證信息，其中T是所述用戶的派生偽名，W是所述 資源的資源私鑰。
27. —種在通信系統中管理一個或多個資源的憑證的方法，包括 為每個資源生成資源私鑰和資源公鑰；當接收到來自用戶終端的用戶請求時，驗證所述用戶的派生偽名；以及如果驗證通過，則基於所述派生偽名，生成要發送給所述用戶終端的 關於資源的憑證信息。
28. 根據權利要求27所述的方法，還包括 生成或接收資源的初始吊銷列表。
29. 根據權利要求27所述的方法，還包括 驗證所述用戶的偽名吊銷驗證參數。
30. 根據權利要求27所述的方法，其中，所述憑證信息被計算為、'= "，其中T是所述用戶的派生偽名，^是所述資源的資源私鑰。
31. —種通信系統中的用戶終端，包括 根偽名獲取單元，被配置為獲取根偽名； 資源憑證獲取單元，被配置為獲取一個或多個資源憑證； 派生偽名生成單元，被配置為從所述根偽名生成第一派生偽名；和 柔性憑證生成單元，被配置為根據所選擇的一組資源憑證，生成柔性憑證，其中，所述用戶終端使用所述第一派生偽名和所述柔性憑證來獲得對 與所述一組資源憑證相對應的一組資源的訪問。
32. 根據權利要求31所述的用戶終端，還包括吊銷參數更新單元，被配置為根據資源的吊銷列表，更新所述資源的 憑證吊銷參數，其中，所述柔性憑證生成單元還被配置為根據所述憑證吊銷參數，生 成憑證吊銷驗證參數。
33. 根據權利要求31所述的用戶終端，其中，所述資源憑證獲取單元 被配置為利用所述根偽名獲取資源憑證。
34. 根據權利要求31所述的用戶終端，其中，所述派生偽名生成單元還被配置為從所述根偽名生成第二派生偽名，並且所述資源憑證獲取單元 被配置為利用所述第二派生偽名獲取資源憑證。
35. 根據權利要求34所述的用戶終端，其中，所述派生偽名生成單元 計算為T二H乍為所述第二派生偽名，其中f是所述根偽名，T是一個整數，並且其中，所述資源憑證獲取單元獲取憑證信息 <，並且將"y.= 、'1/T 存儲為所述資源憑證。
36. 根據權利要求31所述的用戶終端，其中，所述派生偽名生成單元 計算為T'二f'作為所述第一派生偽名，其中f是所述根偽名，r'是一個整數，並且其中，所述柔性憑證生成單元計算V:(fl"J'或V^T'(t )作為所述柔性憑證，其中、，^=1，...， H，是所述一組資源憑證。
37. 根據權利要求31所述的用戶終端，其中，所述派生偽名生成單元 還被配置為根據用戶唯一參數生成追査參數，其中所述追査參數可以與所 述根偽名或從所述根偽名生成的派生偽名一同用於追査用戶身份。
38. 根據權利要求31所述的用戶終端，其中，所述根偽名獲取單元還 被配置為獲取偽名吊銷參數，所述偽名吊銷參數可用於吊銷所述根偽名和 從所述根偽名生成的任何派生偽名，並且其中，所述派生偽名生成單元還 被配置為根據所述偽名吊銷參數，生成與派生偽名一同使用的偽名吊銷驗 證參數。
39. —種用於通信系統中的用戶終端的方法，包括 獲取根偽名；獲取一個或多個資源憑證；從所述根偽名生成第一派生偽名，並根據所選擇的一組資源憑證，生成柔性憑證；以及使用所述第一派生偽名和所述柔性憑證來獲得對與所述一組資源憑證 相對應的一組資源的訪問。
40. 根據權利要求39所述的方法，還包括根據資源的吊銷列表，更新所述資源的憑證吊銷參數；以及 根據所述憑證吊銷參數，生成憑證吊銷驗證參數。
41. 根據權利要求39所述的方法，其中，獲取一個或多個資源憑證包括利用所述根偽名獲取資源憑證。
42. 根據權利要求39所述的方法，其中，獲取一個或多個資源憑證包 括從所述根偽名生成第二派生偽名，並且利用所述第二派生偽名獲取資源 憑證。
43. 根據權利要求42所述的方法，其中，所述第二派生偽名被計算為 T二f，其中,是所述根偽名，t是一個整數，並且其中，獲取一個或多個資源憑證包括獲取憑證信息 <，並且將^二、.^存儲為資源憑證。
44. 根據權利要求39所述的方法，其中，所述第一派生偽名被計算為 T'=,，其中/是所述根偽名，t'是一個整數，並且其中，所述柔性憑證被計算為V二(fl^T或V二T'(t )，其中 ，『l，...， 6，是所述一組資源 憑證。
45. 根據權利要求39所述的方法，還包括根據用戶唯一參數生成追査參數，其中所述追査參數可以與所述根偽 名或從所述根偽名生成的派生偽名 一同用於追査用戶身份。
46. 根據權利要求39所述的方法，還包括獲取偽名吊銷參數，所述偽名吊銷參數可用於吊銷所述根偽名和從所 述根偽名生成的任何派生偽名；以及根據所述偽名吊銷參數，生成與派生偽名一同使用的偽名吊銷驗證參數。
47. —種在通信系統中管理對一個或多個資源的訪問的裝置，包括 偽名驗證單元，被配置為驗證用戶的派生偽名； 柔性憑證驗證單元，被配置為驗證用戶的柔性憑證；和授權單元，被配置為基於所述偽名驗證單元和所述柔性憑證驗證單元 的驗證結果，授權用戶訪問與所述柔性憑證相對應的一組資源。
48. 根據權利要求47所述的裝置，還包括 吊銷列表獲取單元，被配置為獲取資源的吊銷列表。
49. 根據權利要求48所述的裝置，其中，所述偽名驗證單元還被配置為基於所述吊銷列表中的參數，驗證所述用戶的憑證吊銷驗證參數。
50. 根據權利要求47所述的裝置，其中，所述偽名驗證單元還被配置 為驗證用戶的偽名吊銷驗證參數。
51. —種在通信系統中管理對一個或多個資源的訪問的方法，包括驗證用戶的派生偽名； 驗證用戶的柔性憑證；以及基於所述派生偽名和所述柔性憑證的驗證結果，授權用戶訪問與所述 柔性憑證相對應的一組資源。
52. 根據權利要求51所述的方法，還包括 獲取資源的吊銷列表。
53. 根據權利要求52所述的方法，其中，驗證用戶的派生偽名還包括 基於資源的吊銷列表中的參數，驗證所述用戶的憑證吊銷驗證參數。
54. 根據權利要求51所述的方法，其中，驗證用戶的派生偽名還包括 驗證用戶的偽名吊銷驗證參數。
全文摘要
一種使用匿名柔性憑證的用於分布式授權的方法和裝置。偽名機構向用戶頒髮根偽名。用戶可以從根偽名生成大量派生偽名。用戶可以使用派生偽名從資源持有者獲取資源憑證。用戶可以選擇一組資源憑證，從這組資源憑證生成一個柔性憑證，並使用該柔性憑證和派生偽名向資源持有者請求訪問與這組資源憑證相對應的資源。可以在系統中維護每個資源的吊銷列表，從而任一用戶的任一資源憑證可以被吊銷，而不影響該用戶的其他資源憑證。
文檔編號H04L9/32GK101335622SQ20071012270
公開日2008年12月31日 申請日期2007年6月27日 優先權日2007年6月27日
發明者柯 曾 申請人:日電(中國)有限公司